verspätete Meldung eines datenschutz-vorfalls

Bußgeld in Höhe von 475.000 € gegen booking.com

9. April 2021

Die niederländische Datenschutzbehörde hat gegen booking.com ein Bußgeld in Höhe von 475.000 € verhängt, weil das Unternehmen zu lange gebraucht hat, um einen Datenschutzvorfall zu melden.


Was war passiert?

Im Rahmen eines Telefonbetrugs gelang es Kriminellen, Hotelmitarbeiter dazu zu bringen, Log-in-Daten für Ihre Konten in einem booking.com-System preiszugeben. Auf diese Weise erhielten die Kriminellen Zugriff auf die Daten von mehr als 4000 Hotelgästen, die ein Hotelzimmer gebucht hatten. Zu den Daten gehörten Namen, Adressen und Telefonnummern sowie Details zur Buchung. Die Kriminellen erbeuteten zusätzlich Kreditkarteninformationen und auch die Sicherheitscodes. Sie gaben sich durch Phishing-Attacken in E-Mails oder am Telefon (Vishing-Attacke) als Beschäftigte von booking.com aus und versuchten damit an die Kreditkartendaten weiterer Opfer zu gelangen.

Und wieder einmal: Phishing!

booking.com-Kunden waren dem erhöhten Risiko ausgesetzt. erhebliche finanzielle Schäden zu erleiden. Indem sie sich in E-Mails oder am Telefon als Hotelmitarbeiter ausgaben, wollte die Kriminellen, Geld von den Opfern stehlen. Dies kann sehr glaubwürdig erscheinen, denn der Kriminelle weiß genau, wann der Hotelgast eine Buchung vorgenommen und welches Zimmer er gebucht hat. Fordert er den Hotelagast dann auf, die gebuchten Nächte zu bezahlen, entsteht nicht sofort ein Störgefühl.

zu spät, zu spät...

 

Statt  innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls am 13. Januar 2019 meldete booking.com den Datenschutzvorfall erst nach 22 Tagen, nämlich am 7. Februar 2019. Das war zu spät.

 

Die Datenschutzbehörde verhängte das Bußgeld. Die verspätete Meldung sei ein schwerwiegender Verstoß. Datenschutzverletzungen können überall auftreten, selbst wenn man gute Vorsichtsmaßnahmen trifft. Aber um Schaden für Kunden und zukünftige Angriffe zu verhindern, müssen Verantwortliche Datenschutzvorfälle rechtzeitig melden. Schnelles Handeln ist essentiell, nicht zuletzt für die Betroffenen. Nach Erhalt einer Meldung kann die Datenschutzbehörde den Verantwortlichen anweisen, die Betroffenen sofort zu warnen. Dies kann verhindern, dass Kriminelle wochenlang Zeit haben, Opfer zu betrügen.

Fazit MDS

Datenschutzvorfälle im Zusammenhang mit Phishing und jetzt auch Smishing-Attacken treten zur Zeit sehr häufig auf. Die Kriminellen haben nicht nur große Konzerne im Visir. Wir empfehlen daher, solche Fälle ernst zu nehmen. Wird ein Angriff bemerkt, sollte schnell gehandelt werden:

  • Task-Force zusammentrommeln (z. B. Geschäftsführung, IT und Datenschutzbeauftragte)
  • Datenleck schließen,
  • Passwörter ändern,
  • Beschäftigte sensibilisieren und
  • prüfen ob eine Meldepflicht vorliegt.

Und bitte nicht vergessen: Das muss alles innerhalb von 72 Stunden erfolgen.